UAC下的程序权限提升

来源：http://blog.kingsamchen.com/archives/801

UAC是微软为了提高Windows的安全性，自Windows Vista开始引入的新安全机制。

传统的NT内核系统依靠access token来做权限处理，access token由当前用户所在的用户组的权限决定。而由于长期以来的不当使用习惯问题，几乎所有Windows上用户所在的组都是管理员。

在启用UAC之后，系统会额外引入一个filtered token，并且这个token默认只能按照Standard User的权限去执行。所以这个token也通常被叫做limited filtered token。

PS:关于上面的简单介绍，请参考这里

因为执行权限有限，某些操作必然会要求更高的管理员权限。此时，通常就需要一个privilegs elevation的操作。程序可以向系统请求提权，系统会将此请求通过提一个提示框，请用户确认。

这里多说一点，如果当前用户的用户组权限不是管理员，提权操作是要求输入管理员密码的，这点和在Linux中的相应操作类似。不过我想大部分人的用户组都是管理员，所以这句话当我没说好了…

另外需要注意的一点是，这个elevation是受到一个process-boundary的限制的，具体体现在两方面：

1. 程序只能在运行前要求提权。如果已经在运行了，那么将失去申请提权的能力
2. 权限提升仅对此次进程有效

不过，一个具有full administrator token的进程利用CreateProcess创建的进程默认都继承了full administrator token。

提升权限的操作大致有两个：

• 自动提权请求
• 手动提权请求

自动提权请求

如果你的程序始终要求以full administrator token的模式运行，那么应该考虑在程序启动时自动向系统请求提权。

需要做的事情很简单，只需要更改程序的manifest文件。这个文件本质上是一个XML文件，默认情况下，它的内容因该是

 

1 2 3 4 5 6 7 8 9 10

<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">   <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">     <security>       <requestedPrivileges>         <requestedExecutionLevel level="asInvoker" uiAccess="false"></requestedExecutionLevel>       </requestedPrivileges>     </security>   </trustInfo> </assembly>

只要将requestExecutionLevel的level的值改成requiredAdministrator，再重新将这个文件链接入EXE即可。

另外，如果使用Visual Studio作为开发环境，直接在项目的属性里可以更改UAC的权限要求设置

手动提权请求

如果进程在运行途中需要full administrator token怎么办？

答案是，没办法。具体原因前面说了。

不过，一个具有limited filtered token的进程是可以运行一个程序，并且让这个程序去请求系统提权。而且，我们可以让这个进程去再一次运行自己的EXE文件，并且请求提权。

这里需要的API是ShellExecuteEx而不是根正苗红的CreateProcess。因为后者没有和UAC相关的属性设置

ShellExecuteEx需要一个SHELLEXECUTEINFO结构，这个结构如下

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

typedef struct _SHELLEXECUTEINFO {   DWORD     cbSize;   ULONG     fMask;   HWND      hwnd;   LPCTSTR   lpVerb;   LPCTSTR   lpFile;   LPCTSTR   lpParameters;   LPCTSTR   lpDirectory;   int       nShow;   HINSTANCE hInstApp;   LPVOID    lpIDList;   LPCTSTR   lpClass;   HKEY      hkeyClass;   DWORD     dwHotKey;   union {     HANDLE hIcon;     HANDLE hMonitor;   } DUMMYUNIONNAME;   HANDLE    hProcess; } SHELLEXECUTEINFO, *LPSHELLEXECUTEINFO;

这里我们需要关心大概只有三个成员：lpVerb，lpFile和nShow

lpVerb必须被设置为runas；而lpFile是要运行可执行文件的完整路径；nShow控制窗口的显示。

需要关注nShow是因为大部分初始化操作都将这个属性默认初始化为0，很不巧的是，0对应的属性是SW_HIDE。除非你不需要窗体，否则还是需要手动调教下这个成员。

通常来说，如果某个程序运行途中可以通过触发，转而使用full administrator token运行，那么八成是利用这个API重新运行EXE文件，再将原有的程序退出或者隐藏。

至于剩下的那两成，表示不明白，不过我想可以请教传说中的花大婶。

Demo

自己手写了一个Demo，程序默认以limited filtered token运行。单击提权按钮，向系统请求提权。

默认时是这样

提升权限后是这样

核心代码是两块：

1. 判断当前进程是否已经提权. 这个通过判断当前进程的token信息获得
2. 提权运行. 如前所述，利用ShellExecuteEx

具体代码可以看这里。